LDAP - это протокол для подключения к серверу, который в себе хранит аутентификационные данные типа логопассов. Есть AD (решение от MS), а есть прочие решения, под линукс, например. Но все они по сути работают, поддерживая протокол LDAP.
SimpleOne здесь выступает в роли клиента подключения к этому серверу. Имея определенный набор креденшелов (логинов-паролей), мы можем подключиться и запросить их подтверждение: этот логопасс совпадает, правильны ли они или нет.
Настройка подключения
Для создания подключения нужно создать LDAP Server (это сохраненное подключение к серверу, настройка подключения). Для этого:
System LDAP → LDAP Servers;
Click New, fill in the fields and click Save.
Field | Description |
---|---|
Name | Enter the server name. |
Username | Specify the username authenticating the LDAP connection. |
Password | Specify the server's password. |
Root directory | Enter the RDN (relative distinguished name) of the search directory. Example: dc=simpleone, dc=ru. |
Active | Select this checkbox to make the server active or inactive. |
Root directory указывается чтобы при логине сразу переходить в нее, иначе может быть отказ в авторизации. Root directory это корневой каталог для пользователя. В AD настраивают какую-то папку, к которой у пользователя есть доступ, и она для него будет корневой (рутовой).
Потом мы добавляем LDAP URL, это URL LDAP серверов. AD это может быть не один сервер, а комплекс серверов, 1, 2, 3, 5.
System LDAP → LDAP URL;
Click New, fill in the fields and click Save.
Field | Description |
---|---|
URL | Enter the LDAP URL there. Here's an example:
|
Active | Select this checkbox to make the URL active or inactive. |
Order | Specify the order of this URL if there are more than one similar items. In this case, they will be processed in the descending order. |
Operational status |
|
Server | Specify the appropriate LDAP server (choose it from the previously created). |
If you want to establish a secure LDAP connection via port 363, then you need to provide the SSL-certificate.
System LDAP → Certificates.
Create a new record;
attach your certificate (.crt or .ca-bundle) file here;
The form will get information from your certificate and place it into relevant fields.
Для чего используется
Это настроенное подключение используется для авторизации на портале или для того, чтобы синхронизироваться с порталом. Вот у нас тут LDAP Definition.
LDAP Definition - это именно твой запрос на сервер Active Directory, это запрос, по которому ты будешь тянуть пользователей оттуда. Указывается LDAP сервер. Этот LDAP definition потом используется в Import source.
Фильтр - это выборка, по которой мы указываем адрес, с которого мы начинаем тянуть, указываем фильтр, и с указываемыми параметрами у нас подтягиваются все пользователи. И дальше этот перечень пользователей мы можем синхронизировать со своим списком юзеров. Это идет через импорт.
Query field - это поле, с помощью которого будет определяться идентификация в системе, т.е. атрибут.
Есть три проперти:
user.ldap_autoprovision - когда мы логинимся, и если нас нет в системе, он слазил в лдап, проверил, что наш юзер и пароль имеет креденшиалы реальные, он создаст нашего пользователя. Всем созданным таким образом пользователям проставляется LDAP-сервер, через который они созданы, и source - вот этот адрес, в котором они живут. LDAP адрес к этому пользователю.
user.authorization_when_no_ldap_connect - использование локальных учетных данных в случае, если LDAP сервер недоступен.
user.ldap_authentication - включает саму возможность LDAP аутентификации.
Глобальная цель механизма LDAP - импорт юзеров в систему. И тем самым мы синхронизируемся и с аутлуком, и с учетной записью эксчейнджа, у нас учетная запись на все.
LDAP log
System LDAP → LDAP Log
можем смотреть, кто логинится, через какой сервер; можем посмотреть ошибки, кто ломился неправильно.
Логи на самом деле пишутся в sys_log. Здесь они выводятся из этой же таблицы, просто настроен фильтр
LDAP
Server
URL
Certificates
Вариант
Выделить две части:
- Настройка коннекта (указание авторизационных данных, серверов, указывание сертификатов (про них можно чуть подробнее, если получится).
- Использование настроенного коннекта: LDAP Definition, например, в импорте, ну и ссылку на импорт можно. Упомянуть про проперти